‘Goldoson’ Kötü Amaçlı Yazılımı Google Play Uygulamalarına Sızıyor, 100 Milyon İndirmeyi Artırıyor



Veri çalabilen ve tıklama dolandırıcılığı yapabilen kötü amaçlı yazılım, virüslü bir üçüncü taraf kitaplığı aracılığıyla 60 mobil uygulamaya girdi. Araştırmacılar, virüslü uygulamaların resmi Google Play mağazasından 100 milyondan fazla indirme kaydettiğini ve Güney Kore’deki diğer uygulama mağazalarında mevcut olduğunu buldu.

Bir blog gönderisinde, McAfee Labs’teki araştırmacılar tarafından keşfedilen ve isimlendirilen Goldoson’un Android tabanlı cihazlarda çeşitli alçakça etkinlikler gerçekleştirebileceğini söylediler. Kötü amaçlı yazılım, yüklü uygulamaların listelerini toplayabilir ve Wi-Fi ve Bluetooth aracılığıyla yakındaki cihazların konumunu tespit edebilir. Araştırmacılar, kullanıcının izni veya bilgisi olmadan arka planda reklamlara tıklayarak reklam sahtekarlığı da gerçekleştirebileceğini söyledi.

Goldoson’dan etkilenen popüler uygulamalardan bazıları L.POINT with L.PAY, Swipe Brick Breaker, Money Manager Expense & Budget, Lotte Cinema, Live Score ve GOM’dur. Araştırmacılar, Google Play’de 100 milyondan fazla virüslü uygulama indirildiğini ve Güney Kore’nin önde gelen mobil uygulama mağazası ONE’da 8 milyondan fazla indirildiğini söyledi.

Araştırmacılar, McAfee’nin virüs bulaşmış uygulamaları Google’a bildirdiğini ve bunun da geliştiricilere uygulamalarının Google Play politikalarını ihlal ettiğini ve uygulamalarını düzeltmeleri gerektiğini hızla bildirdiğini söyledi. Gönderilerinde ONE uygulama mağazasıyla iletişime geçip geçmediklerinden bahsetmiyorlar.

Bazı uygulamalar Google Play’den tamamen kaldırılırken, diğerleri resmi geliştiriciler tarafından güncellendi. McAfee, bir listesi gönderide bulunan etkilenen uygulamalardan herhangi birinin kullanıcılarını, cihazlarından Goldoson izini kaldırmak için onları en son sürüme güncellemeye teşvik ediyor.

McAfee’nin mobil araştırma ekibinden SangRyol Ryu, gönderide “Kötü amaçlı kitaplık, uygulama geliştiricileri tarafından değil başka biri tarafından yapılmış olsa da, uygulamaları yükleyenler için risk devam ediyor” dedi.

Goldoson Nasıl Çalışır?

Goldoson kitaplığı, uygulama aynı anda çalışırken bir komut ve kontrol sunucusundan (C2) uzak yapılandırmalar alarak, cihaza bulaştıktan hemen sonra bir cihazı kaydeder. Her uygulamada kitaplık adını ve uzak sunucu etki alanını hem değiştirerek hem de gizleyerek algılamadan kaçınır; geliştiriciler buna “Goldoson” adını verdiler, çünkü bunun buldukları ilk alan adı olduğunu söylediler.

Uzak yapılandırma, uygulamanın her bir işlevi için parametreleri içerir ve bileşenleri ne sıklıkta çalıştırdığını belirtir.

Ryu, “Parametrelere bağlı olarak, kitaplık düzenli aralıklarla cihaz bilgilerini kontrol eder, alır ve bunları uzak sunuculara gönderir,” diye yazdı.

Goldoson’un cihazdaki tüm uygulamalardan veri toplama yeteneği, cihazdan talep ettiği “QUERY_ALL_PACKAGES” adlı bir izinden gelir. Araştırmacılar, Android sürüm 11 veya üzeri yüklü cihazların kullanıcılarının bu sorguya karşı daha korunaklı göründüğünü ve McAfee tarafından gözlemlenen vakaların yalnızca yaklaşık yüzde 10’unun güvenlik açığı gösterdiğini söyledi.

Kötü amaçlı yazılım, çalışma zamanında Android 6.0 veya üstünü çalıştıran cihazlardan konuma, depolamaya veya kameraya erişim izni ister. Araştırmacılar, konum iznine izin verilirse, virüslü uygulamanın yalnızca GPS verilerine değil, aynı zamanda yakındaki cihazlardan Wi-Fi ve Bluetooth bilgilerine de erişebileceğini ve bunun da özellikle iç mekanlarda virüs bulaşmış aygıtı bulmada daha fazla doğruluk sağladığını belirtti. kullanıcıların konumunu belirlemek veya keşfetmek, onları daha fazla kötü amaçlı etkinlik için riske atar.

Araştırmacılar, Goldoson’un kullanıcının haberi olmadan Web sayfalarını da yükleyebileceğini söyledi; bu, saldırganların finansal kazanç sağlamak için reklam yüklemek için kötüye kullanabilecekleri bir işlev. Teknik açıdan bunun işe yaradığını çünkü kitaplığın HTML kodunu yükleyip onu özelleştirilmiş ve gizli bir WebView’e enjekte ettiğini, ardından URL’leri tekrar tekrar ziyaret ederek gizli trafik oluşturduğunu açıkladılar.

Goldoson, her iki günde bir cihazlardan topladığı verileri, uzaktan yapılandırmayı kullanarak bu döngüyü değiştirebilen saldırganlara gönderir.

Üçüncü Taraf Mobil Uygulama Bileşeni Riski

Araştırmacılar, Goldoson’un varlığının, geliştiricilerin virüs bulaştığını bilmeden uygulamalara yerleştirdiği üçüncü taraf veya açık kaynak bileşenlerinin bir parçası olduğunda, kötü niyetli etkinliğin ne kadar hızlı yayılabileceğini bir kez daha gösterdiğini belirtti.

Bu, neredeyse tüm Java ortamlarında kullanılan bir günlük kitaplığının kolayca istismar edilebilir bir güvenlik açığı içerdiğinin tespit edildiği Apache Log4j fiyaskosunda iyi bir şekilde belgelenmiştir. Mevcut uygulamaların birçoğunun savunmasız kalması nedeniyle İç Güvenlik Bakanlığı tarafından endemik bir siber tehdit olarak ilan edilen Log4j’nin yansımaları muhtemelen önümüzdeki yıllarda hissedilecek.

Gerçekten de, kuruluşların veya geliştiricilerin haberi olmadan ve dolayısıyla onlar tepki gösteremeden hızlı bir şekilde büyük bir kötü amaçlı ayak izi elde etme yeteneği, saldırganlar tarafından kaybedilmedi. Bir güvenlik uzmanına göre, yanıt olarak, yazılım tedarik zincirini kötü amaçlı yazılımlarla veya Log4j ve diğer bilinen güvenlik açıklarına yönelik istismarlarla giderek daha fazla hedefliyorlar ve başarıları arttıkça bunu yapmaya devam edecekler.

Mobil güvenlik firması Zimperium’da Amerika’nın satış mühendisliğinden sorumlu başkan yardımcısı Kern Smith, “Saldırganlar, platformlar genelinde meşru olan uygulamaları etkileme girişimlerinde daha sofistike hale geliyor” diyor.

Şeffaflık Talebi

Uzmanlara göre, kuruluşlar ve geliştirici ekipleri genelinde şeffaflık, yazılım tedarik zinciri sorunlarını azaltmanın en iyi yolu gibi görünüyor.

Açık kaynak veya üçüncü taraf bileşenleri içeren uygulamaları kullanan hem geliştiriciler hem de kuruluşlar, neyin oluştuğunun bir envanterini sağlayan “bu uygulamaların ve bileşenlerinin risklerini, özellikle bir yazılım malzeme listesi (SBOM) ile ilgili olarak değerlendirmelidir”. yazılım bileşenleri, diyor Smith.

McAfee araştırmacıları, gerçekten de geliştiricilerin, kullanıcıları korumak ve virüs bulaşmış veya güvenlik açığı bulunan bileşenler yoluyla güvenliğin ihlal edilmesini önlemek için geliştirip sundukları uygulamalarda hangi kitaplıkların ve diğer bileşenlerin kullanıldığını açıklamaya istekli olması gerektiğini söyledi.

Harici kitaplıkların geliştiricilerinin de kodları konusunda şeffaf olmaları gerekir, böylece onlardan yararlanan kuruluşlar ve geliştiriciler davranışlarını anlayabilir ve böylece ortaya çıkabilecek herhangi bir sorundan hızla haberdar olabilirler, dediler.



Source link